Comm100聊天服务商在供应链攻击中被劫持传播恶意软件

一个可能与中国有关联的威胁行为者被归因于一个新的供应链攻击，该攻击涉及使用一个特洛伊木马安装器为Comm100 Live Chat应用程序分发JavaScript后门。

网络安全公司CrowdStrike说，这次袭击使用了一个可从公司网站下载的用于Windows的Comm100桌面代理应用程序。

攻击的规模目前不得而知，但据说木马化的文件已经在北美和欧洲的工业、医疗、技术、制造、保险和电信部门的组织中被发现。

  Comm100是加拿大为企业提供现场音频/视频聊天和客户互动软件的供应商。它声称在51个国家拥有15000多名客户。

该公司指出，该安装程序于2022年9月26日14：54：00使用有效的Comm100网络公司证书签署，并在9月29日之前一直可用。

嵌入在武器化可执行文件中的是一个基于JavaScript的植入程序，执行远程服务器上托管的第二阶段JavaScript代码，旨在为行为体提供隐蔽的远程shell功能。

作为后期利用活动的一部分，还部署了一个名为MidlrtMd.dll的恶意加载程序DLL，该DLL启动内存中的shellcode代码，以便将嵌入式有效负载注入新的记事本进程。

供应链妥协，如SolarWinds和Kaseya，正在成为威胁行为者的一个越来越有利可图的策略，以目标广泛使用的软件提供商在下游客户的网络中获得立足点。

截至本文写作时，没有一个安全厂商将安装程序标记为恶意的。在负责任的披露之后，随着一个更新的安装程序( 10.9 )的发布，这个问题已经得到了解决。

CrowdStrike基于恶意软件中存在的中文评论以及在东亚和东南亚的网络赌博实体的目标，将攻击与具有中国关系的行为者联系在一起，这是一个已经建立的基于中国的入侵行为者的利益领域。

也就是说，在这个活动中提供的有效载荷不同于以前被确定为由该团体操作的其他恶意软件家族，这表明它的进攻武库的扩张。

截至本文写作之时，攻击者如何获得对Comm100内部系统的访问权限并毒害合法安装程序，目前尚不清楚。

 CrowdStrike没有透露对手的名字，但TTP指向了一个名为地球Berberoka (又名GamblingPuppet )的威胁行为者的方向，今年早些时候，该威胁行为者在攻击赌博行业时使用了一个名为MiMi的假聊天应用程序。